Cruz cookie de dominio utilizando CORS en Safari

Question

que siguió el ejemplo: http://arunranga.com/examples/access-control/credentialedRequest.html

de esta página: http://arunranga.com/examples/access-control/

El ejemplo de trabajo en Firefox, pero no Safari, nadie ha intentado en la implementación de CORS manejo cruz cookie de dominio, y ser exitoso en Safari?

Gracias.

Answer 1

Esto suena como un error de Safari. Acabo de verificar que las cookies entre dominios no se configuran en Safari. Las cookies entre dominios están funcionando en Chrome, por lo que esto puede solucionarse en WebKit y el último aún no ha llegado a Safari. No he visto un informe de error de Safari o WebKit sobre esto.

Answer 2

Safari también bloquea las cookies de los sitios que no se han visitado directamente. Puedes ver en la configuración de seguridad. Su configuración predeterminada es Aceptar cookies: "Solo desde los sitios que visito".

Esto lo ayudará a comenzar. Setting cross-domain cookies in Safari

Tengo jsonp trabajando en safari usando métodos en el enlace de arriba. Así que asumimos que la cookie funcionaría en el contexto de CORS, pero en esta etapa no parece estar funcionando. Además, cambiar la configuración de seguridad parece no tener ningún efecto.

Safari podría exigir que se devuelva un conjunto más estricto de encabezados?

Answer 3

Me encontré con aplicaciones API/UI en diferentes subdominios de Heroku, como my-api.herokuapp.com y my-ui.herokuapp.com, la cookie de sesión se configuró para my-api.herokuapp.com. Incluso visitar my-api.herokuapp.com no pareció ayudar a Safari en este caso con su política predeterminada "Solo desde los sitios que visito" en 23house mencionada: http://content.screencast.com/users/artemv/folders/Jing/media/4dfc08d7-0e9c-483f-a272-bbe91549ea95/00000759.png.

Sin embargo, Safari funcionó bien cuando asignamos un dominio personalizado a estas aplicaciones y se convirtió en my-api.midominio.com y mi-ui.midominio.com - por lo que parece que Safari tiene una confianza especialmente baja para los proveedores de servicios de Internet populares. 'subdominios. No se necesitó una visita directa a my-api.midominio.com en este caso.